第七条 【公开透明原则】

处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

【释义】

本条规定宣示了个人信息处理行为基本原则之一，即公开透明原则，重点体现为个人信息处理活动的对外公开和处理过程透明。与一审稿、二审稿相应条款相比，最终稿进一步细化了“明示”的实际范围和个人信息处理规则的公开性，即原稿中的“明示个人信息处理规则”变更为“公开个人信息处理规则，明示处理的目的、方式和范围”，其意在增强公开透明原则的具体适用范围，避免出现要求义务主体事无巨细地明示所有个人信息处理规则的极大情况，在平衡个人信息权利主体和个人信息处理者之间权益诉求的同时细化公开透明原则的适用方式和具体场景。尽管本法第7条规定的内容属于“基本原则”，属于宣示性内容，但鉴于个人信息处理实践场景的复杂性和动态性，如果仅仅停留于“明示处理规则”这类表述方式，看似为未来可能发生的个人信息处理活动创新预留解释空间，但这种解释空间实际上却大大增加了公开透明原则适用的不确定性，即个人信息处理者在不确定“明示”的具体范式时，出于降低合规成本和避免承担侵权责任，倾向选择将所有个人信息处理规则均展示给个人信息权利主体，这大大增加了个人信息处理者的个人信息处理业务流程，同时，“信息轰炸式”的个人信息处理规则也增加了权利主体查阅、筛选和判断与自身个人信息权益相关规则的时间成本和理解难度。因此，本条所规定的公开透明原则是“有范围”“有边界”的公开透明，法律既无可能也无必要强制要求个人信息处理者承担公开所有个人信息处理的相关规则。

在文义解释层面，公开透明原则是指个人信息处理活动应当满足的“处理规则公开”和“处理过程透明”两项要求，义务主体（个人信息处理者）应当以恰当的方式向社会公众和特定个人告知个人信息处理规则，权利主体（自然人）应当能够通过业已公开的处理规则和透明化的处理过程自行作出是否接受个人信息处理方式以及选择何种个人信息处理方式。公开透明原则在理解上应有两层含义：一是个人信息处理活动应当是基于权利主体与义务主体之间的合意而得以进行。在商业实践中，权利主体所面临的最主要侵权风险是App、小程序和公众号等网络服务提供者未经自然人同意私自收集个人信息或者收集非必要的个人信息，而公开透明原则的功能作用则表现为确保自然人能够实现一定程度的个人信息自决权益，例如了解自己的个人信息是否会传输至第三方机构、个人信息的存储期限有多久等信息。在法律实施效果层面，良性健康的个人信息处理业务生态有赖于个人信息处理者和权益主体之间就个人信息处理目的、方式和范围等重要事项达成合意。故而公开透明原则的立法目的也可以理解为确认个人信息处理行为是否符合法律规定、个人信息处理者是否存在主观过错以及个人信息权益主体知晓个人信息活动的实际范围，这也成为本法有关个人信息处理者义务具体条文的直接依据。二是个人信息处理活动的公开透明是有限度的。公开透明原则的直接目的是保障自然人的知情权，但“知情”不是事无巨细地知晓，而是有针对性地知晓涉及个人信息权益的核心事项。倘若个人信息处理者将所有的个人信息处理内容均以文字形式告知用户，这种义务履行方式并不能发挥预防个人信息权益侵害风险的预期效果，因为“信息轰炸”的告知方式只会增加用户了解个人信息处理方式真实情况的难度，这与立法本意相悖。进一步而言，公开透明原则的实际范围早已在一审稿和二审稿的变动中有所体现，“明示处理目的、范围和方式”的表述将个人信息处理者需要公开透明的内容限定为“处理目的”、“处理范围”和“处理方式”。公开透明原则作为个人信息保护的基本原则，广泛适用于所有个人信息处理活动，这也意味着所有业务领域的个人信息处理者均应当公开自己处理个人信息的目的、范围和方式。不过，所谓的“目的”、“范围”和“方式”的公开方式和程度是否也应当详尽？显然不可一概而论，需要认识到公开透明原则的普适性决定了该条条款内容不可能详尽列明具体的义务要求，结合公开透明原则的立法本意，公开的“目的”、“范围”和“方式”同样以保障自然人知情权为限度，以达成自然人能够清楚知悉自己个人信息处理流程这一现实效果为目标。例如，在告知用户个人信息处理方式时，公司内部业务部门之间的个人信息管理职责、部门之间合作运用个人信息的方式等信息显然不属于应当告知的事项。因为对于用户而言，真正关心的是“谁拥有我的个人信息”“我的个人信息是否会被传输至第三方机构”“我的个人信息被用来做什么”等关系到自身权益的事项，而个人信息处理者的全部技术方案、底层代码设计等信息虽然事关个人信息处理方式，但对这些信息的了解并不能帮助用户真正了解个人信息所处的处理状态，且也涉及个人信息处理者自身的商业利益，超出立法的调整范围。因此，公开透明原则的含义可以理解为在有限范围内公开个人信息处理活动的相关信息，并尽可能保障个人信息处理流程对于自然人是相对透明可见的。

本条的适用难点主要表现为公开透明原则与其他个人信息保护具体规则之间的衔接关系，具体包括两个层面：第一，个人信息处理活动相关的公开透明方式应当是能够确保自然人知情且理解的程度。在商业实践中，部分个人信息处理者为了达成业务合规的基本要求，在隐私保护政策、个人信息保护政策或者用户注册协议中将所有可能要求的信息都予以罗列或者以晦涩难懂、排版密集的文字表述告知用户个人信息处理相关信息，其实际结果是自然人根本无法获悉自己的个人信息究竟将会被如何处理，即便自然人愿意字斟句酌地阅读协议内容，但协议内容的技术专业化表述限制了自然人正确理解个人信息处理方式。所以，公开透明原则的隐藏含义也延伸出《个人信息保护法》第18条的个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言向个人告知下列事项之表述。第二，公开透明原则通常被认为是实现知情权的必要前提，故而能够满足立法者所期待的知情效果往往是认定满足公开透明原则的直接标准。不过，需要注意的是，这种“知情”需要根据公开透明的事项有所区别。如果公开透明的事项是与个人信息处理相关的一般事项，告知行为满足“方式清晰易懂”“事前告知”等条件即可视为已经满足公开透明原则；但如果公开透明的事项是与个人信息处理相关的特殊事项，则需要以单独特别的方式再次向用户告知，如个人敏感信息的收集、个人信息处理目的的调整以及向第三方机构传输个人信息等事项。

公开透明原则作为个人信息保护领域的核心原则，在《网络安全法》第41条、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条第2款等规定具有一致性标准，即公开透明的限度、方式和内容均是以是否能够有效保障个人信息权益、规范个人信息处理活动和降低侵权风险作为直接目标。

【关联规定】

本法第18条、第19条、第23条、第31条、第35条、第39条等，《中华人民共和国网络安全法》第41条，《中华人民共和国民法典》第1035条，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条第2款，《电信和互联网用户个人信息保护规定》第8条

（撰稿人：周瑞珏）